¿Qué datos personales puede publicar una central de riesgo?, el Tribunal Constitucional se pronuncia en Perú

¿Qué datos personales puede publicar una central de riesgo?, el Tribunal Constitucional se pronuncia en Perú

central_riesgo_peru

Por Cynthia Téllez Gutiérrez

El Tribunal Constitucional tomó posición respecto a los  tipos de datos personales pueden tratar y comercializar las centrales de riesgo, CEPIRS, para ello ha tomado principios rectores de la Ley de Protección de Datos Personales  como parámetros para determinar la legitimidad del tratamiento que pueden realizar las CEPIRS, el pronunciamiento principal ha sido sobre la prohibición de comercializar los datos laborales, contactos telefónicos y domicilio porque este uso no está en el ámbito de tratamiento de datos autorizado para las CEPIRS.

La sentencia delExp. Nº 03700-2010-PHD/TC del Tribunal Constitucional resolvió la demanda de un ciudadano que solicitaba a  la central de riesgo Equifax Perú  la eliminación y exclusión de toda información de deudas vigentes o anteriores, los montos de consumos en tarjetas de créditos, supresión de una deuda por considerar que la información era inexacta, y no se registren  y comercialicen todo dato relacionado a su domicilio y ocupación laboral.

Para resolver esta demanda de Habeas Data finalista, el Tribunal ha analizado, si la Ley Nº 27489, Ley que regula las Centrales Privadas de Información de Riesgos (Ley de CEPIRS) que fue modificada por la Ley Nº 27863, autoriza o no a las CEPIRS tratar y comercializar los datos personales reclamados por el ciudadano, utilizando los principios de proporcionalidad y finalidad expuestos en la Ley Nº 29733, Ley de Protección de Datos Personales,  para poder resolver estas autorizaciones de tratamiento sin previo consentimiento.

Datos de deudas y montos de consumos de tarjetas.

El Tribunal Constitucional reafirma su la posición que las CEPIRS pueden tratar información de riesgos crediticios, eso incluye información positiva y negativa de endeudamiento con entidades financieras, aclara que respecto a mostrar montos consumidos en tarjetas de créditos será un tratamiento proporcionado siempre que sean montos globales y no detalles de los consumos realizados.

En la sentencia se justifica la autorización dada por la Ley de CEPIRS  que además está respaldada por  la Ley de protección de datos personales en que la información de riesgos crediticios es necesaria para generar la confianza en el sistema financiero,  para ello se puede conocer el comportamiento  en el tiempo de los sujetos de créditos.  Por tanto, estas instituciones están  legitimados a tratar estos datos sin consentimiento del titular del dato, lo cual incluye información de deudas oportunas o tardíamente canceladas, pero manteniendo el plazo legal establecido para su difusión.

Respecto a la petición de eliminación de borrado de una deuda por considerarla inexacta, como el ciudadano no presentó ningún documento para la sustentación de esta afirmación no se procedió a su atención.

Otros datos personales: laborales, de contacto y domicilio

Recordemos que la Sentencia se circunscribe en determinar solo para el ámbito de las autorizaciones que tienen las CEPIRS dadas por su ley de creación,  para exponer y comercializar datos personales de las personas.

La Ley de CEPIRS  solo autoriza a estas entidades el tratamiento (recolección y comercialización) de datos crediticios y no otros tipos de datos. Así que el registro y comercialización de datos personales como los domicilios,  cargos laborales y números telefónicos que no son de naturaleza crediticia, y el Tribunal manda la eliminación de estos datos porque no hay proporción entre los datos recolectados y la autorización dada por Ley  de CEPIRS. Esta decisión es independiente si los datos fueron recogidos de fuentes públicas (como el caso del domicilio que fue recolectado de la consulta RUC del portal de la Sunat) o no, dado que las CEPIRS tienen delimitado legalmente los tipos de información y usos que pueden hacer usar y comercializar.

En conclusión, la precisión sobre la legitimidad de recolección y comercialización de estos datos se ha dado sobre la base si se cumple o no con la finalidad de la creación de las CEPIRS.

Criterios a aprender.

Por un lado, las entidades públicas o privadas si tienen una legislación especial que las regula, como es el caso de las CEPIRS, deberán determinar previamente a la recolección  y  usos de datos personales si estos están de acuerdo con los fines que les han sido autorizados legalmente y sin estos datos son necesarios o proporcionales para cumplir estos fines autorizados legalmente.

Por otro lado, a considerar a modo general, recordemos que la Ley de datos personales debe aplicarse en el marco de respeto de los demás derechos fundamentales, así en caso de datos personales de fuentes públicas se delimita el uso de estos datos, sin necesidad de contar con la autorización del titular del dato, a respetar los propósitos de creación y divulgación de estos bancos de datos y adicionalmente tener en cuenta los demás supuestos que esta Ley establece si se necesita o no consentimiento para el tratamiento de datos personales y los que se establezcan en otras normativas aplicables, pero aun así se establece que deben respetarse los derechos del titular del datos de poder accionar sus derechos ARCO (acceso, rectificación, cancelación y oposición) sobre estos datos cuando corresponda.

A estas excepciones para recolectar datos sin previo consentimiento, hay que  recordar el criterio establecido por la Autoridad de Protección de Datos en la resolución del caso de datosperu.org, en el cual se establece que pueden tratarse datos personales sin autorización del titular del dato si existiera una justificación de  “interés público”.  Por ejemplo, si  un medio de comunicación en la realización de investigación de periodismo en caso de corrupción divulga información que ha sido obtenida mediante una fuente de acceso público como los registros públicos , el SAT, entre otros, existirá una justificación de este tipo siempre que no se desnaturalice el propósito de publicidad de estos bancos de datos “fuentes de acceso público”, por ello, siempre se debe realizar un análisis específico en cada caso a fin de evaluar que el tipo de uso del dato  respete los principios de finalidad y proporcionalidad establecidos en la Ley de protección de datos personales.

Dato curioso

El mismo ciudadano de la presente sentencia, ya había reclamado anteriormente, en otra demanda, la eliminación de sus datos laborales y de domicilio  en una CEPIRS, el Tribunal Constitucional denegó la petición, aunque los votos estuvieron divididos habiendo  sido necesaria la intervención del Presidente del Tribunal para el voto decisorio.

Texto de la sentencia

Disponible en: http://www.tc.gob.pe/jurisprudencia/2015/03700-2010-HD.pdf

Artículo publicado originariamente por la autora en Privacy Perú.